Es mehren sich Berichte, nach denen der schlimmste (datenschutzrechtliche) Albtraum von 23andMe Realität geworden sein dürfte: Nutzerdaten – darunter auch genetische Informationen – scheinen millionenfach entwendet worden zu sein. Nutzer:innen dürften sich nun die Frage stellen: Was bedeutet das und wie sollte man nun vorgehen?
Welche Daten hat 23andme?
Das Geschäftsprinzip von 23andme ist eigentlich relativ einfach: Die Nutzer:innen senden der Firma ein Testkit mit ihrer DNA und erhalten dafür umfassend ausgewertete Informationen zu ihrem Erbgut. Dies kann unter anderem die eigene Abstammung, das Identifizieren von Verwandten, aber auch das Erkennen von bestimmten gesundheitlichen Informationen betreffen (genetische Defekte, vererbbare Krankheiten, Krebsrisiken). Daneben können sogar kleine Besonderheiten wie Muskeltypus, Gesichtsform, Geschmack oder andere Eigenschaften ausgelesen werden.
Welche Daten wurden entwendet?
Am 10.10.23 verbreitete TechCrunch die Nachricht, dass 23andMe sämtliche Passwörter zurückgesetzt habe, nachdem in den Hackerforen Hydra und BreachForums Personen mit dem Hack geprahlt und einige Nutzerdaten geleaked hätten. Ein Hacker gab an, 23andMe um eine Summe von 50 Mio. US-Dollar zu erpressen für einen Datensatz mit 300 Terabyte. Im Folgenden berichtete auch Heise über die Hacks und gab an, dass sogar die Profile der 23andMe-Gründerin Anne Wojcicki und ihres Ex-Ehemanns, dem Google-Mitgründer Sergey Brin, veröffentlicht worden seien. Während 23andMe auf Rückfragen von TechCrunch erst spät reagierte, veröffentlichte die Firma im eigenen Blog am 6. Oktober bereits einen Beitrag zum Vorfall, in dem unberechtigte Zugriffe auf Datensätze bestätigt werden. Das tatsächliche Ausmaß des Hacks liegt aber weiter im Dunkeln. Dass laut TechCrunch aber mindestens eine Million User mit aschkenazischen Wurzeln und 100.000 chinesische User betroffen sein sollen, lässt nichts Gutes vermuten. Auf der anderen Seite neigen Hacker oft zur Übertreibung und es ist bislang nicht ersichtlich, ob die entwendeten Daten überhaupt verwertbar sind (Verschlüsselung).
Was bedeutet der Datenklau für Sie?
Für die Nutzer:innen von 23andMe dürfte die Nachricht durchaus unangenehm sein. Schließlich enthalten die eigenen Datensätze ggfs. durchaus sensible Informationen, mit denen man bloßgestellt oder erpresst werden kann. Man möge sich einmal vorstellen, dass man bei der Ahnenforschung feststellt, dass die Großeltern vielleicht Nazi-Größen waren, oder die Urgroßeltern im bayrischen Bergdorf vielleicht etwas näher miteinander verwandt waren als einem lieb ist. Mithin könnten Erbkrankheiten oder andere unangenehme Faktoren bekannt werden. Besonders für Leute, die im politischen oder nachrichtendienstlichen Bereich tätig sind, könnte die Veröffentlichung der Informationen besonders unangenehm sein und sich auf den Beruf auswirken. Mithin könnten theoretisch auch Zahlungsdaten betroffen sein, die für die Bezahlung der TestKits angegeben wurden.
Welche Ansprüche stehen Ihnen zu?
Die Kunden von 23andMe stehen dem Geschehen nicht machtlos gegenüber. Die europäische Datenschutzgrundverordnung (DS-GVO) gibt den EU-Bürgern umfangreiche Rechte gegenüber den Unternehmen, welche ihre Daten speichern und verarbeiten. Kommt es dort aufgrund mangelnder Sicherheitsvorkehrungen zu Datenabflüssen durch Hacks, können sie von den Betreibern sowohl Auskunft zu Art und Umfang des Datenlecks einholen, als auch Schadensersatz verlangen. Ein materieller Schaden ist dabei nicht immer zwingend erforderlich. Bereits ein bleibendes Gefühl der Unsicherheit kann immaterielle Schadensersatzansprüche begründen. Einfach verständlich oder leicht anzuwenden sind die gesetzlichen Vorschriften aber leider nicht unbedingt, da sie mitunter komplex sind und von der Interpretation höchstrichterlicher Rechtsprechung abhängen.
Wir setzen Ihre Ansprüche für Sie durch
Daher sind eine anwaltliche Beratung und Vertretung dringend zu empfehlen. Wir stehen Ihnen gerne mit unserer fachanwaltlichen Expertise in diesem Bereich zur Verfügung und setzen Ihre Ansprüche durch.
GoldbergUllrich Rechtsanwälte 2023
Benno Gerwinn, Wissenschaftlicher Mitarbeiter
